编者按
GDPR是中国企业出海欧洲必须跨越的一道“门槛”。其中,个人数据能否从欧洲向中国回传、如何回传,是很多中国出海企业关注的焦点问题。
本文中通过梳理GDPR项下数据跨境传输的基本规则、最新动向,就GDPR与中国个人信息保护法下跨境传输路径的对比与分析,从而揭示中国企业出海到欧盟可能会面临哪些合规难点和风险,以期为中国出海企业做好GDPR下的数据跨境传输合规工作提供参考路径的指引。
目录索引
01 GDPR跨境传输三大合规路径
02 GDPR跨境传输路径的新发展
03 与中国跨境传输路径的对比分析
04 中国出海企业的应对措施
01 GDPR跨境传输三大合规路径
欧盟GDPR数据跨境传输合规路径基本原则是当个人数据被转移至欧洲经济区(包括所有欧盟国家和非欧盟国家冰岛、列支敦士登和挪威)之外时,需要采取特别的保障措施,以确保GDPR提供的个人数据保护水平在数据跨境传输过程中“不会减损”(not undermined)。与此同时合规路径呈现阶梯状的形式。
路径一:充分性认定
欧盟委员会有权根据GDPR第45条,决定欧盟以外的国家是否提供充分的数据保护水平。而充分性认定的效果是,个人数据可以从欧盟(以及挪威、列支敦士登和冰岛)流向该第三国而无需采取任何进一步的保障措施。
目前,已经为欧盟充分认定的国家中,既包括发达国家,也包括一些发展中国家,如乌拉圭、阿根廷等。因此,充分性认定更多注重相关国家数据保护水平是否达到欧盟的要求,与国家自身经济发展程度无关。
路径二:适当的保障措施
针对非充分认定的国家如何保障数据传输安全达到欧盟水平,欧盟提出了相应的适当保护措施,分为以下几种:
(1)公共当局之间有法律约束力和可执行性的文书;
(2)有约束力的公司规则(Binding Corporate Rules, BCRs);
(3)欧委会通过或批准的标准合同条款(Standard Contractual Clauses, SCCs);
(4)经批准的行为准则(codes of conduct);
(5)经批准的认证机制(certification mechanism)。
在上述保障措施中,实践中企业最常采用的路径是标准合同条款(SCCs),其次是有约束力的公司规则(BCRs)。
路径三:特定情形下的克减
对于数据跨境传输成本与收益会产生错配的情况,GDPR第49条规定了特定情形下的克减情况:
(1)数据主体的明确同意;
(2)履行合同所必需;
(3)为公共利益之目的;
(4)为提起、行使或抗辩法律诉求;
(5)为保护数据主体或其他人的重要利益,且数据主体无法给予同意的情况下;
(6)根据登记册而进行的转移,该等登记册是欧盟法或成员国法律为了向具有正当利益的一般性公众或个人提供咨询。
GDPR规定克减仅适用于只涉及少量数据主体、偶尔进行的数据跨境传输。换言之,上述克减只能在特定情形下使用,数据输出者不应将此作为常规化数据跨境传输的合法依据。
02GDPR跨境传输路径的新发展
(一) Schrems案与欧盟跨境传输机制的完善
2016年7月份,欧盟委员会通过了《隐私盾协议》(Privacy Shield)以取代安全港协议,但在其通过的几个月后,法国NGO认为隐私盾计划也不能有效保障欧盟公民数据权利。
此后,隐私盾事件与Schrems案合并审理,2020年7月份,欧盟法院的判决一方面明确判决标准合同条款有效,但是仅仅通过标准合同条款不能够充分保障第三国达到欧盟保护水平,因此需要对于第三国保护水平进行核实,若第三国未能达到要求,则需要采取补充性保护措施;另一方面明确美欧《隐私盾协议》的充分性认定是无效的,这便是对于欧盟个人数据跨境传输影响深远的Schrems II案。
直至2022年3月份,欧盟委员会和美国发布联合声明,表示已就新的跨大西洋数据隐私框架达成原则性协议,该协议是否会成为新的隐私盾尚不明确,但仅就目前而言,其尚未形成有效的传输机制。
Schrems II案最终导致欧盟颁布了新的标准合同条款同时推出了新的补充性规定用以应对个人数据跨境传输过程中所面临的问题。
(二)欧盟新版标准合同条款变化
新版SCCs主要是针对SchremsII案的判决作出的回应,呈现出以下特点:
首先,是形式发生了变化,新版SCC将标准合同条款分成了四个不同模块,分别为:数据控制者之间传输数据、数据处理者之间传输数据、数据控制者传输给数据处理者、数据处理者传输给数据控制者。
其次,是增强数据传输双方的问责功能,要求数据传输双方在数据传输过程中都要承担相应的义务,包括对于数据处理及数据传输情况进行记录等等。
(三)如何进行传输影响评估(TIA)
GDPR项下在进行跨境传输时,判断的是境外接收方的法律环境,主要分为几个部分:
首先,是具体传输场景,不同于欧盟委员会根据GDPR第45条进行的充分性认定的评估范围,TIA需要评估的立法和实践取决于具体传输场景,特别是转移和处理数据的目的;参与处理的实体类型;转移的个人数据种类;将要传输的数据格式等。
其次,是个人数据保护的相关法律,在任何情况下,TIA都应特别关注:要求数据处理者披露个人数据的相关法律以及赋予公共当局访问个人数据权利的相关法律(例如,为刑事执法、监管或国家安全等目的)。
此外,欧盟也提供了评估的基本原则,比如相关法律是否能够向个人提供有效救济措施,是否存在独立的监督机制等原则。同时欧盟还提供了参考资料用以判断第三国法律是否能够提供相应的保护等,包括欧洲委员会或联合国决议报告等参考资料。
在经过TIA后,发现接收方所在国家或地区无法提供实质上与欧盟水平相当的数据保护手段,可以通过采取以下三方面措施来配合标准合同条款:
1.在技术措施方面
其中最为常见的技术是加密或者对于信息进行加密化处理,在数据存储时对于数据进行加密,密钥将会位于欧洲或者欧盟认定的第三国,此种情况下可以牢牢掌握数据的控制权,对于数据访问情况进行全方位的把控,因而成为欧盟青睐的一种方式。
2.在合同措施方面
可以采取在合同中约定数据接收方的相关义务,如约定数据接收方有告知数据出境方有关披露数据的请求的义务以及数据接收方有评估数据披露请求的合法性等义务。
3.在组织措施方面
可以通过采取内部政策来进行应对,如建设一套完整的应对第三方所在国或地区当局要求的策略,进行个人信息最小化,监控数据访问行为等一系列措施。
在以上三种配套措施中,欧盟更加相信技术的力量,因为即使通过采取合同措施可以达到相关的要求,但是接收方身在异国,在遵守当地法律方面没有太多的选择权,因此相比之下技术措施更能取得相应的效果。
03与中国跨境传输路径的对比分析
(一)GDPR与个保法下跨境传输路径对比
我国《个人信息保护法》第38条规定了数据出境的路径,其中标准合同条款、认证等途径都可以在欧盟GDPR中找到相对应的路径方式,但是数据出境安全评估这一种路径属于我国的独创。
首先,在数据出境路径方面,欧盟采取以企业自治为主的方式,数据出境工作大部分工作需要企业自主完成,除执法过程外,相关机关较少会干预企业出境前的数据合规行为。
我国在数据出境路径各方面更多采取的是监管部门干预或监督的方式,如标准合同中,我国《个人信息保护法》规定,需要企业对于标准合同向有关部门进行备案;在认证方面,我国规定更为严格,即第三方机构需要经过监管部门的认证之后才进行相关认证工作。
其次,在出境方式方面,欧盟以强调保护个人权益为主,而我国除强调个人权益之外,更加强调对于国家安全的保护。
(二)我国个人信息出境标准合同与欧盟SCC
首先,二者存在众多相类似之处,如有关于TIA、再传输、数据接收方义务等方面的要求等,同时采取的基本思路都是通过合同的方式将数据在境外的传输行为纳入到本国的数据保护体系之下,并且通过管辖权条款,适用法律条款、承诺等内容对于境外接收方的数据处理活动形成一定的规制。
而且两部法律都存在有限的域外效力,仅规定了在有限的情况下适用,更多的是通过民事合同形式达到对数据出境后相关数据处理活动行使裁量权或者管辖的目的。
其次,二者也存在不同之处,如我国个人信息出境标准合同形式尚并未区分前文所述欧盟所采用的四种不同模式;在标准合同条款方面,我国要求必须向有关机关进行备案,同时对于数据合规工作的监管要求更高。但总体而言,二者仍然是相同之处远远大于不同之处。
(三)GDPR与个保法中有关“认证”的界定
尽管欧盟GDPR与我国《个人信息保护法》都使用了认证这一名词,但二者在本质上存在较大的差别。
首先,我国认证实质适用于跨国企业或同一组织实体下的内部传输,同时将域外效力纳入其中。主要目的是为跨国企业内部传输提供认证,经过认证后,企业内部即可实现自由传输,但若企业需要进行安全评估的话,认证必定对其不适用。
其次,我国所规定的认证本质上更像GDPR项下BCR规则的变体。欧盟GDPR项下的认证其更多时认证数据境外接收方的情况,而我国则要求认证整个企业实体,包括所有同此跨境传输行为有关的企业,因而认证量非常巨大。
同时我国法律规定,认证要遵守统一的个人信息保护规则,同时还要确保参与传输的每一方都要签署法律文件,即我国的认证将认证机制、有约束力的公司规则、签署法律文件全部收入囊中,实质是将GDPR项下适当性措施的三条路径进行了糅合,实践中将会对企业造成较大的负担。
(四)我国数据出境安全评估的特色
数据处境安全评估是我国《个人信息保护法》项下较为有特色的制度,其最重要的特点在于安全评估与本地化是相伴相生的关系.
当企业满足标准时,首先要考虑是否进行本地化,即使通过了安全评估,是否在很大程度上可能需要进行数据的本地化存储,因此数据出境安全评估与本地化是结合发展的特有制度。
对于企业而言,首先需要有前瞻性的思考,即在提前做好应对数据出境安全评估的战略准备;其次需要有预见性,预先制定数据出境安全评估申报预案,对于申报流程及各项内容进行充分地了解和把握,对于申报的必要性进行提前预判并作出针对性的调整。
04中国出海企业的应对措施
出海企业在进行数据跨境传输过程中主要包括六个步骤:
第一步,了解向第三国转移个人数据的情况,通过全面的数据映射实现落地,需要注意从第三国向其他第三国的传输场景,其中需要注意远程访问也属于跨境传输的情况;
第二步,核实进行数据跨境转移的依据,通过判断GDPR项下个人数据跨境传输路径实现落地,其中注意选择路径的优先级别,分别是充分性认定→适当的保障措施→特定情形下的克减;
第三步,评估第三国的法律和/或事件是否可能会影响某一具体转移的有效性,通过实现开展TIA来实现落地,其中需要注意确定评估范围,确定参与主体,以及选择信息来源;
第四步,确定并采取必要的补充措施,通过针对具体传输选择补充措施来实施,过程中需要注意,一方面需针对具体传输场景选择合适的补充措施;另一方面需注意“合同措施+组织措施”无法有效防止公共当局对个人信息的访问,“技术措施”在某些场景中可能是必选项;
第五步,完成可能需要的任何正式程序步骤,本步骤的实现取决于第二步选定的传输路径,需要注意所需采取的程序步骤可能会有所不同,这取决于正在使用或打算使用的GDPR第46条转移工具。新版SCCs一般而言无需履行程序步骤 而BCRs须经数据保护机关的批准方可通过。
第六步:适时重新评估第三国的数据保护水平,本部分借助于内部定期评估机制实现,此过程需要注意出口方必须持续监测第三国法律/实践的发展,并在适当情况下与进口方合作,以判断这些发展是否会影响先前的TIA结果;同时出口方应确保在下述情况发生时能够及时暂停或终止跨境传输:第一,进口方已违反或无法履行其在 GDPR 第46 条转移工具下的承诺;第二,补充措施在该第三国不再有效。
写在最后
GDPR规则已经为中企出海提供了较为清晰的合规要求,对于中企而言,不仅要做到形式上的合规,更重要的是将数据真正纳入到企业整体风险控制体系之中,一方面确保企业法务及业务人员充分体会到其重要性,另一方面则是在企业内部充分宣传,尽可能多的使得内部人员意识到处于不同的法律环境之中,从而重视数据合规特别是数据跨境传输工作。
中企出海GDPR合规6大步骤解读
作者:龚钰来源:iLaw合规

编者按 GDPR是中国企业出海欧洲必须跨越的一道“门槛”。其中,个人数据能否从欧洲向中国回传、如何回传,是很多中国出海企业关注的焦点问题。